淺析ＮＩＤＳ及其實(shí)現(xiàn)

魏國(guó)華　廖崇華

[摘要]簡(jiǎn)要分析和介紹計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的主要類型及其技術(shù)，給出一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的技術(shù)實(shí)現(xiàn)機(jī)理。

[關(guān)鍵詞]計(jì)算機(jī) 網(wǎng)絡(luò) 安全 入侵檢測(cè)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0120073－01

隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的爆炸式增長(zhǎng)和網(wǎng)絡(luò)應(yīng)用的日益深化，安全問題愈發(fā)突出，傳統(tǒng)的單一安全技術(shù)如防火墻、授權(quán)與身份認(rèn)證系統(tǒng)、信息加密等，都是以靜態(tài)的方式保障信息安全，對(duì)快速發(fā)展的黑客攻擊、內(nèi)部攻擊等則力不從心。作為最近幾年發(fā)展起來的、以對(duì)非法網(wǎng)絡(luò)行為預(yù)警和響應(yīng)為主要目標(biāo)的動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)入侵檢測(cè)，正在得到越來越深入的研究和應(yīng)用。

一、入侵檢測(cè)系統(tǒng)簡(jiǎn)介

入侵檢測(cè)，一般是指通過在計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)采集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略的行為或被攻擊的跡象。入侵檢測(cè)是一種集檢測(cè)、響應(yīng)、記錄于一體的動(dòng)態(tài)安全技術(shù)，不僅能檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。

用于入侵檢測(cè)的軟件或軟硬件組合產(chǎn)品即為入侵檢測(cè)系統(tǒng)(Intrusion Detection System)。IDS一般具有監(jiān)視系統(tǒng)及用戶活動(dòng)、檢查系統(tǒng)配置和漏洞、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性、識(shí)別和分析攻擊行為或異常行為、對(duì)操作系統(tǒng)日志管理、對(duì)己發(fā)現(xiàn)的攻擊行為作出反應(yīng)或處理等功能。

按照數(shù)據(jù)分析和檢測(cè)機(jī)制的不同，入侵檢測(cè)分為異常入侵檢測(cè)和誤用入侵檢測(cè)。異常入侵檢測(cè)是建立在統(tǒng)計(jì)學(xué)基礎(chǔ)上的一種檢測(cè)技術(shù)，是目前入侵檢測(cè)技術(shù)的主要研究方向，基本原理是先定義一組系統(tǒng)或網(wǎng)絡(luò)“正常”情況的狀態(tài)，這類數(shù)據(jù)可以人為定義，也可以通過統(tǒng)計(jì)得出，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。誤用入侵檢測(cè)，是預(yù)先定義出入侵行為特征或標(biāo)志，然后監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)，從中找出符合入侵特征的行為，類似殺毒軟件原理。IDS的類型，從檢測(cè)節(jié)點(diǎn)和數(shù)據(jù)來源看，主要有基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS，以及兩者集成型IDS。從系統(tǒng)架構(gòu)上看，IDS還可分為集中式IDS和分布式IDS，集成型的分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(D-NIDS)應(yīng)是技術(shù)發(fā)展方向。

二、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)機(jī)理

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是利用網(wǎng)絡(luò)監(jiān)聽技術(shù)采集網(wǎng)絡(luò)分組數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行入侵檢測(cè)分析和響應(yīng)。設(shè)計(jì)NIDS，技術(shù)架構(gòu)可以采用三層分布式體系結(jié)構(gòu)，包括網(wǎng)絡(luò)入侵探測(cè)器、入侵事件數(shù)據(jù)庫(kù)和分析控制臺(tái)。

對(duì)應(yīng)三層體系結(jié)構(gòu)，可將NIDS從功能上劃分為三個(gè)核心子系統(tǒng)：數(shù)據(jù)采集與分析子系統(tǒng)、數(shù)據(jù)庫(kù)管理子系統(tǒng)、控制臺(tái)子系統(tǒng)。數(shù)據(jù)采集與分析子系統(tǒng)在具體技術(shù)實(shí)現(xiàn)上，可充分利用Snort等優(yōu)秀的開源軟件包進(jìn)行二次開發(fā)構(gòu)建，系統(tǒng)平臺(tái)根據(jù)性能與成本的要求，既可在Linux/Unix平臺(tái)上實(shí)現(xiàn)，也可采用RTOS硬件實(shí)現(xiàn)，以達(dá)到數(shù)據(jù)信號(hào)處理的高速和穩(wěn)定，同時(shí)降低了開發(fā)復(fù)雜度。數(shù)據(jù)庫(kù)管理子系統(tǒng)和控制臺(tái)子系統(tǒng)對(duì)效率的要求不高，可在Windows上實(shí)現(xiàn)，提高操作性和界面友好性。

數(shù)據(jù)庫(kù)子系統(tǒng)和控制臺(tái)子系統(tǒng)相對(duì)比較簡(jiǎn)單，在此不做分析介紹，重點(diǎn)介紹數(shù)據(jù)采集與分析子系統(tǒng)的實(shí)現(xiàn)機(jī)理。

NIDS的核心部分是數(shù)據(jù)采集與分析子系統(tǒng)，一般配置在各個(gè)局域網(wǎng)的關(guān)鍵節(jié)點(diǎn)上，是整個(gè)系統(tǒng)的基礎(chǔ)性模塊，因?yàn)槠洳僮鲗?duì)象是網(wǎng)絡(luò)數(shù)據(jù)包，首先就必須把所有的網(wǎng)絡(luò)數(shù)據(jù)包都捕獲下來，所以此模塊的主要功能就是從網(wǎng)絡(luò)中偵聽捕獲數(shù)據(jù)包并分析數(shù)據(jù)包協(xié)議和內(nèi)容。由于數(shù)據(jù)包采集的性能要求很高，而網(wǎng)絡(luò)中的數(shù)據(jù)包量非常大，如果捕獲不及時(shí)，就會(huì)有漏包的情況出現(xiàn)，因此要根據(jù)需要適當(dāng)?shù)脑O(shè)置過濾機(jī)制，過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，減輕數(shù)據(jù)分析壓力，可過濾特定IP、特定MAC地址、特定協(xié)議的數(shù)據(jù)包。數(shù)據(jù)包分析部分完成對(duì)采集到的數(shù)據(jù)包進(jìn)行分析的功能，只有對(duì)每個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)協(xié)議、類型和特征進(jìn)行了詳細(xì)正確的分析，才有可能檢測(cè)出入侵行為。由于網(wǎng)絡(luò)協(xié)議非常多，因此就必須分析很多的協(xié)議，以太網(wǎng)常見協(xié)議有ARP/RARP、ICMP、SNMP、IP、TCP、UDP、HTTP、FTP等。

數(shù)據(jù)采集與分析子系統(tǒng)包含如下幾個(gè)模塊：

1．包捕獲與解析模塊：可采用與Snort關(guān)聯(lián)的Libpcap開發(fā)包來實(shí)現(xiàn)數(shù)據(jù)包的捕獲。由于TCP/IP協(xié)議是互聯(lián)網(wǎng)事實(shí)上的標(biāo)準(zhǔn)，所以協(xié)議分析應(yīng)基于TCP/IP協(xié)議，必須對(duì)TCP/IP的四層協(xié)議，即包頭信息進(jìn)行詳細(xì)的分析，從而掌握它的具體特征，并對(duì)數(shù)據(jù)內(nèi)容進(jìn)行各種支持網(wǎng)絡(luò)協(xié)議的格式分析。

2．預(yù)處理模塊：預(yù)處理模塊中主要由HTTP解碼器、端口檢測(cè)器等預(yù)處理程序組成。

3．檢測(cè)引擎模塊：是整個(gè)檢測(cè)系統(tǒng)的核心，程序的效率直接影響到整個(gè)系統(tǒng)的性能優(yōu)劣，可參考或利用國(guó)際上非常流行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort的設(shè)計(jì)思想或技術(shù)。Snort是一個(gè)以開放源代碼形式發(fā)行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，由遍布世界各地的眾多程序員共同維護(hù)和升級(jí)，它采用基于規(guī)則的工作方式，對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行規(guī)則匹配來檢測(cè)多種不同的入侵行為和探測(cè)活動(dòng)。許多入侵檢測(cè)產(chǎn)品的內(nèi)核都是基于Snort設(shè)計(jì)開發(fā)的。

4．日志與報(bào)警模塊：該模塊主要完成檢測(cè)結(jié)果的輸出，當(dāng)發(fā)生入侵時(shí)，能及時(shí)報(bào)警入侵行為。

5．規(guī)則庫(kù)模塊：存儲(chǔ)攻擊特征碼。

三、入侵檢測(cè)系統(tǒng)的配置要點(diǎn)

入侵檢測(cè)系統(tǒng)的幾個(gè)部件往往位于不同的主機(jī)上。在安裝IDS的時(shí)候，關(guān)鍵是選擇數(shù)據(jù)采集部分所在的位置，因?yàn)樗鼪Q定了“事件”的可見度。

對(duì)于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上。對(duì)于網(wǎng)絡(luò)型IDS，其數(shù)據(jù)采集部分則有多種可能，對(duì)網(wǎng)段用總線式的HUB相連，則可將其接在HUB的一個(gè)端口上即可；而對(duì)于交換機(jī)，由于交換機(jī)不采用共享方式，問題則會(huì)變得復(fù)雜，可解決的辦法有：

1．交換機(jī)一般都有一個(gè)調(diào)試端口，任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開放，用戶則可將IDS系統(tǒng)接到此端口上，缺點(diǎn)是采用此端口會(huì)降低交換機(jī)性能。

2．把IDS放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口和出口，優(yōu)點(diǎn)是可得到幾乎所有關(guān)鍵數(shù)據(jù)，但會(huì)降低網(wǎng)絡(luò)性能。

3．采用分接器，將其接在所有要監(jiān)測(cè)的線路上，優(yōu)點(diǎn)是不降低網(wǎng)絡(luò)性能的前提下采集所需數(shù)據(jù)，但必須使用額外的設(shè)備。

四、結(jié)束語

在網(wǎng)絡(luò)安全產(chǎn)品配置中，IDS加防火墻是目前常用的組合。雖然在IDS技術(shù)上發(fā)展起來的IPS（入侵防御系統(tǒng)）得到了快速發(fā)展，但I(xiàn)DS的技術(shù)發(fā)展也非?？?，今后仍將在網(wǎng)絡(luò)安全事件預(yù)警檢測(cè)中發(fā)揮不可或缺的作用。

作者簡(jiǎn)介：

魏國(guó)華，男，漢族，甘肅酒泉，本科學(xué)歷，工程師，信息技術(shù)專業(yè)；廖崇華，男，漢族，天津市，本科學(xué)歷，工程師，信息技術(shù)專業(yè)。